Plano de prevenção de riscos da entidade Acirbaf

Maria Beatriz Vieira Bispo

Plano de Prevenção de Riscos da Entidade “Acirbaf”

Coimbra, outubro de 2022

ISCAC | 2022Maria Beatriz Vieira BispoPlano de Prevenção de Riscos da Entidade “Acirbaf”

Maria Beatriz Vieira Bispo

Plano de Prevenção de Riscos da Entidade “Acirbaf”

Trabalho de projeto submetido ao Instituto Superior de Contabilidade e Administração de Coimbra para cumprimento dos requisitos necessários à obtenção do grau de Mestre em Auditoria Empresarial e Pública, realizado sob a orientação da Professora Dra. Maria Georgina da Costa Tamborino Morais e supervisão de Engª Aida Patrícia Ferreira Domingues.

Coimbra, novembro de 2022

TERMO DE RESPONSABILIDADE

Declaro ser a autora deste projeto, que constitui um trabalho original e inédito, que nunca foi submetido a outra Instituição de ensino superior para obtenção de um grau académico ou outra habilitação. Atesto ainda que todas as citações estão devidamente identificadas e que tenho consciência de que o plágio constitui uma grave falta de ética, que poderá resultar na anulação do presente projeto.

AGRADECIMENTOS

Pela disponibilidade, confiança e oportunidade, agradeço à minha orientadora Professora Doutora Maria Georgina da Costa Tamborino Morais. Foi, sem dúvida, uma honra e um privilégio fazer esta caminhada consigo, pela docente, profissional e ser-humano que é.

Pelo apoio incondicional e ensinamento constante, à minha supervisora, Eng.ª Aida Patrícia Ferreira Domingues, que por muito conturbados que fossem os tempos, nunca me “largou da mão” e lutou lado a lado comigo na concretização deste projeto. Muito obrigada, nada disto seria possível sem si.

A toda a equipa da “Acirbaf”, pela oportunidade, disponibilidade, confiança e apoio. A todos os que me ouviram, me ajudaram, se sentaram comigo para analisar e discutir a melhor forma de execução deste projeto, o meu sincero agradecimento pela transparência, paciência, ensinamentos e espírito critico em todo o processo.

Aos meus amigos, pela estrutura poderosa que são, na compreensão e apoio, fazendo-se presentes em todos os momentos.

À minha família, pelo entusiasmo e confiança neste projeto e, o mais especial dos agradecimentos, aos meus pais, irmã e namorado, pela vossa disponibilidade, pelo carinho e compreensão constante, pela ajuda, pela paciência, pela proteção, motivação e apoio incondicional.

Por fim,

À Coimbra Business School | ISCAC, pela notoriedade do vosso trabalho e resiliência, com um propósito claro de dar aos seus formandos a liberdade de traçar o seu caminho, através de experiências e ferramentas que culminam numa estrutura incrível de docentes e profissionais, que enriquecem o conhecimento e a aprendizagem de quem pela CBS passa.

RESUMO

Este trabalho de projeto assenta num plano de prevenção de riscos de fraude interna com impacto direto nos produtos, surgindo da necessidade da entidade em construir um plano adequado à prevenção, identificação, gestão e resposta de fraude.

A gestão de risco é um processo que permite identificar, avaliar, gerir e controlar os riscos inerentes à organização. O controlo interno pode ser definido como um conjunto de procedimentos que permitam melhorar a gestão de risco e o alcance dos objetivos da organização. Por sua vez, cabe à auditoria interna a avaliação dos sistemas de gestão de risco e de controlo interno. A abordagem combinada destes processos é fundamental para a prevenção de ocorrência de fraudes.

O objetivo deste projeto foi elaborar uma análise aos riscos associados a cada área e processo e, compreender, de que forma se pode atuar na mitigação dos mesmos. Foram realizadas reuniões com os responsáveis pelas áreas identificadas, visitas aos locais e, análise documental ao que existia na entidade.

Após identificação e avaliação dos riscos nas áreas definidas e levantamento dos controlos já implementados pela organização, foram sugeridas ações corretivas e oportunidades de melhoria.

Os resultados obtidos demonstram que a entidade já detém um pensamento baseado no risco, garantindo um grau de confiança elevado nos controlos e, uma capacidade de implementação e adequação das ações corretivas e oportunidades de melhoria recomendadas. No futuro recomenda-se a monitorização aos sistemas, de forma a trabalhar na persecução de métodos e controlos que permitam alcançar os objetivos traçados pela empresa.

Palavras-chave: Fraude, Gestão de Risco, Auditoria Interna, Controlo Interno.

ABSTRACT

This project is based on an internal fraud risk prevention plan with a direct impact on products, arising from the entity's need to build an adequate plan for the prevention, identification, management, and response of fraud in this sense.

Risk management is a process that makes possible to identify, assess, manage, and control the risks inherent to the organization. Internal control can be defined as a set of procedures to improve risk management and the achievement of the organization's objectives. In turn, the internal audit is responsible for evaluating the risk management and internal control systems. The combined approach of all these processes is essential for preventing fraud from occurring.

The objective of this project was to prepare an analysis of the risks associated with each area and process and understand how to mitigate them. For this, meetings were held with those responsible for the identified areas, site visits and document analysis of what already existed in the entity.

After identifying and assessing the risks in the identified areas and surveying the controls already implemented by the organization, corrective actions and opportunities for improvement were suggested.

The results obtained demonstrate that the entity already has risk-based thinking, ensuring a high degree of confidence in controls and an ability to implement and adapt corrective actions and recommended improvement opportunities. In the future, it is recommended that the systems be monitored, to work on the pursuit of methods and controls that allow achieving the objectives set by the company.

Keywords: Fraud, Risk Management, Internal Audit, Internal Control.

ÍNDICE GERAL

INTRODUÇÃO ... 1

1 REVISÃO DE LITERATURA ... 3

1.1 Fraude ... 3

1.2 Gestão de Riscos ... 9

1.3 Controlo Interno ... 15

1.4 Auditoria Interna ... 21

2 METODOLOGIA ... 28

3 PLANO DE PREVENÇÃO DE RISCOS DA ENTIDADE “ACIRBAF” ... 30

3.1 Enquadramento legal ... 30

3.2 Motivações e resultados para cometer fraude ... 33

3.3 Enquadramento da entidade ... 36

3.3.1 Pertinência da aplicação deste projeto ... 38

3.3.2 A “Acirbaf” ... 39

3.3.2.1 Fábrica ... 41

3.3.2.2 Informática ... 42

3.3.2.3 Conceção e Desenvolvimento do Produto ... 43

3.3.2.4 Controlo de Entradas ... 43

3.4 Definição da matriz de risco ... 44

3.5 Análise dos Resultados ... 47

3.5.1 Questionário ... 47

3.5.2 Fábrica ... 52

3.5.3 Informática ... 55

3.5.4 Conceção e Desenvolvimento do Produto ... 57

3.5.5 Controlo de Entradas ... 59

3.6 Auditoria Interna e Monitorização ... 61

3.7 Limitações do projeto ... 64

3.8 Considerações finais do projeto ... 64

CONCLUSÃO ... 66

REFERÊNCIAS BIBLIOGRÁFICAS ... 68

APÊNDICES ... 74

APÊNDICE 1. QUESTIONÁRIO ... 75

APÊNDICE 2. PLANO DE PREVENÇÃO DE RISCO - FÁBRICA ... 78

APÊNDICE 3. PLANO DE PREVENÇÃO DE RISCO – INFORMÁTICA ... 90

APÊNDICE 4. PLANO DE PREVENÇÃO DE RISCO – CONCEÇÃO E DESENVOLVIMENTO DO PRODUTO ... 91

APÊNDICE 5. PLANO DE PREVENÇÃO DE RISCO – CONTROLO DE ENTRADAS ... 92

APÊNDICE 6. MONITORIZAÇÃO DOS RISCOS IDENTIFICADOS ... 93

ÍNDICE DE FIGURAS E GRÁFICOS

Figura 1 - Triângulo da Fraude ... 5

Figura 2 - Diamante da Fraude ... 7

Figura 3 - Frequência de comportamentos de alerta - "red flags" ... 35

Figura 4 - Departamentos de maior risco de ocorrência de fraude interna ... 35

Figura 5 - Logotipo da Empresa ... 36

Figura 6 - Hierarquia da Fraude ... 39

Figura 7 - Matriz de Risco ... 44

Figura 8 - Avaliação do Risco ... 46

Figura 9 - Ações de Risco ... 61

Figura 10 - Mapa de Monitorização dos Riscos Identificados (>3) ... 62

Figura 11 - Mapa de Monitorização dos Riscos Identificados (≤3)... 63

Gráfico 1 - Avaliação de Probabilidade e Impacto dos Riscos – Fábrica ... 53

Gráfico 2 - Avaliação de Riscos - Fábrica ... 54

Gráfico 3 - Avaliação de Probabilidade e Impacto dos Riscos - Informática ... 55

Gráfico 4 - Avaliação de Riscos - Informática ... 56

Gráfico 5 - Avaliação de Probabilidade e Impacto dos Riscos – Conceção e Desenvolvimento do Produto ... 57

Gráfico 6 - Avaliação de Riscos - Conceção e Desenvolvimento do Produto ... 58

Gráfico 7 - Avaliação de Probabilidade e Impacto dos Riscos - Controlo de Entradas 59 Gráfico 8 - Avaliação de Riscos - Controlo de Entradas ... 60

Lista de abreviaturas, acrónimos e siglas

ACFE - Association of Certified Fraud Examiners ADN - Ácido desoxirribonucleico

AG – Autoridade de Gestão

AICPA – American Institute of Certified Public Accountants CNCS – Centro Nacional de Cibersegurança

COSO - Committee of Sponsoring Organizations of the Treadway Comisssion DRE – Diário da República Eletrónico

ERM - Enterprise Risk Management Framework ICIF - Internal Control Integrated Framework IFAC - International Federation of Accountants IIA – The Institute of Internal Auditors

IPAI – Instituto Português de Auditoria Interna ISA - International Standard on Auditing

ISO - International Organization for Standardization MENAC – Mecanismo Nacional Anticorrupção

PO ISE – Programa Operacional de Inclusão Social e Emprego PPR - Plano de Prevenção de Riscos

RGPD - Regulamento Geral sobre a Proteção de Dados UE – União Europeia

INTRODUÇÃO

A estratégia de prevenção de fraude deve ser baseada num forte e adaptado plano de prevenção de riscos. O conhecimento do negócio no seu todo viabiliza a elaboração de métodos que permitam detetar, prevenir e controlar os riscos, de forma a mitigar a possibilidade de ocorrência de fraude. A cultura e clima da organização é peça chave neste processo, alicerçada por uma gestão de riscos eficaz e eficiente, valorizando-se as pessoas, respeitando os processos e, propondo medidas adequadas ao ambiente e objetivos implementados pela mesma.

Neste sentido, em conjunto com a “Acirbaf” ¹ , identificaram-se algumas situações que careciam da adoção de novas ferramentas, mais específicas e atuais, onde se assumia como prioridade a identificação dos riscos inerentes ao processo produtivo e, de que forma, se poderia atuar na sua prevenção ao se adotarem procedimentos que visassem formalizar aquilo que são as normas de conduta expectáveis e aceitáveis, e, por outro lado, que valorizassem a monitorização dos controlos internos capacitando-os de forma a mitigar a probabilidade de ocorrência de fraude interna.

Este projeto é assente numa relação entre aluna e entidade, tendo como objetivo primordial ser profícuo para ambas as partes, nomeadamente, a nível pessoal, enquanto oportunidade e desafio de uma enriquecedora experiência de aplicação ao contexto real.

Para a entidade, o projeto surge como uma forma de melhoria contínua da sua gestão de processos, pessoas e recursos. Este foi o alicerce motivador ao longo de todo o processo de desenvolvimento deste projeto, que tem definido como objetivos específicos analisar as medidas de prevenção de fraude interna em algumas áreas especificas; analisar os riscos, classificá-los e mapeá-los, definir medidas e controlos gerais e específicos para cada área de análise; definir um plano de prevenção de riscos.

Para que este plano seja adequado, é necessário conhecer o que é a fraude e em que medida esta pode ser efetuada dentro do contexto específico da organização.

1 Por questões de confidencialidade acordadas com a empresa, no início deste projeto, foi atribuído um nome fictício – “Acirbaf” - para identificação da mesma.

Assim, este projeto está organizado por três capítulos ao qual antecedem os elementos pré textuais e a introdução. No primeiro capítulo, a revisão de literatura é assente nos quatro principais estágios relevantes à construção de um plano de prevenção de riscos, onde estão presentes alguns conceitos e abordagens de autores de referência, que permitem uma melhor compreensão das temáticas, nomeadamente: fraude, gestão do risco, controlo interno e auditoria interna.

No segundo capítulo, descreve-se a metodologia utilizada para chegar a este plano, desde que foi perspetivado até aos resultados obtidos, utilizando uma abordagem quantitativa e qualitativa alicerçada em reuniões-focus, entrevistas e em questionários aos colaboradores e órgãos de gestão da “Acirbaf”. No terceiro capítulo, apresenta-se o plano de prevenção de riscos que incluirá um enquadramento da entidade, dentro da privacidade exigida pela mesma, de forma a que se compreenda o propósito e o objetivo do desenvolvimento deste projeto. Far-se-á também uma síntese da problemática em estudo, objetivos gerais e específicos, identificação da matriz de risco, os procedimentos e os instrumentos de recolha de informação. Apresentam-se ainda neste capítulo os resultados obtidos, por área identificada e as recomendações para cada uma delas. Posteriormente apresentam-se as limitações e conclusões.

1 REVISÃO DE LITERATURA

Este projeto pretende enquadrar da melhor forma possível a necessidade das empresas criarem um plano de prevenção de riscos e o porquê da sua importância. Para qualquer organização, independentemente da sua dimensão, é necessário que se elabore uma análise global, periodicamente revista, onde estejam enquadrados os riscos inerentes a cada parte relevante do seu processo, de forma a ser possível elaborar os controlos necessários para mitigar os riscos, evitar perdas de reputação, credibilidade, relação com o seu cliente, investidores, etc.

A gestão de riscos, o controlo interno e a auditoria interna são processos, numa organização, que beneficiam de uma relação dinâmica, no sentido em que cada uma é afetada pela outra e, para serem tão eficientes e eficazes quanto possível, necessitam das restantes para aperfeiçoar, adaptar, identificar e analisar incertezas e ameaças que podem eventualmente vir a afetar os objetivos, mitigando o risco, nomeadamente o de ocorrência de fraude.

Para isto, é importante conhecer os principais pontos de referência utilizados pelos mais diversos autores que estudaram o tema, entender os conceitos e analisar os seus pontos de vista sobre as temáticas aqui apresentadas, de modo a poder potenciar a aplicação deste projeto.

1.1 Fraude

Cada vez mais a temática da Fraude é fator de interesse público, pelo seu impacto nas organizações a nível mundial. A fraude é um ato intencional e pode ser definida como

“qualquer ato ilegal caracterizado por engano, ocultação ou violação de confiança” (The Institute of Internal Auditors (IIA), 2019, p. 1) [tradução própria]

Primeiramente, torna-se necessário esclarecer e compreender que fraude é diferente de erro. Uma fraude caracteriza-se por um ato intencional, com o intuito de adulterar, manipular ou sabotar algo, enquanto um erro é um ato não intencional, sem intuito de causar dano, sendo por isso decorrente da própria condição humana.

Segundo o IIA, mencionado pelo Instituto Português de Auditoria Interna (IPAI), os atos fraudulentos não dependem da ameaça de violência ou força física, mas sim de uma intenção clara de obter proveitos, independentemente da sua forma.

“Quaisquer atos ilegais caracterizados pelo engano, encobrimento ou violação da confiança. Tais atos não dependem de ameaça de violência ou de força física. As fraudes são perpetradas por indivíduos e organizações para se apropriarem de dinheiros, bens ou serviços; para evitarem o pagamento ou perda de serviços; ou para obterem vantagens pessoais ou comerciais.” (IPAI, 2016, p. 38).

“Fraude” é uma atividade que se baseia numa forma de ocultação da verdade ou deturpação da mesma, de forma a obter um ganho, sendo por isso um ato intencional e deliberado.

O conceito de Fraude poderá variar consoante o enquadramento onde for perpetuada, pelo que não existe, uma única e correta definição. Ainda assim, para o International Federation of Accountants (IFAC) a fraude reveste-se como “um ato intencional praticado por um ou mais indivíduos de entre a gerência, encarregados da governação, empregados ou terceiros, envolvendo o uso propositado de falsidades para obter uma vantagem injusta ou ilegal.” (IFAC, 2009, p. 5) [tradução própria]

A fraude é todo o ato intencional e consciente de alterar/deturpar a verdade, adulterar em proveito próprio os procedimentos, ou ainda sabotar conscientemente a propriedade do outro, é por isso a deturpação de conhecimento da verdade ou ocultação de um facto material para induzir outro a agir em seu prejuízo (Association of Certified Fraud Examiners (ACFE), 2022).

A ACFE (2022) (segundo a própria, a maior organização antifraude do mundo e a principal promotora de educação e treino para o efeito), faz referência a três tipos de fraude que podem existir num ecossistema organizacional, de entre elas: a fraude contra indivíduos – que ocorre quando uma única pessoa é alvo de um fraudador - a fraude externa – que inclui fraudes cometidas contra uma organização, fora da mesma - e, a fraude interna, também por vezes chamada de “fraude ocupacional” – esta ocorre quando um elemento da organização a engana em proveito próprio.

O risco de fraude é inerente a qualquer organização, independentemente do seu carácter ou função. As empresas, de acordo com a sua identidade específica, podem estar sujeitas

a inúmeros fatores que influenciem o risco de fraude, a sua dimensão e impacto, em várias vertentes, desde o seu desempenho até à sua continuidade.

O §4 da ISA 240 do IFAC, refere que a prevenção e deteção da fraude cabe ao órgão de gestão, tendo à sua responsabilidade a criação de uma cultura de honestidade e de comportamentos éticos. (IFAC, 2009)

Ainda assim, as pesquisas mais recentes confirmam a tendência ascendente da fraude, em todas as suas formas. É impossível detetar e/ou prevenir fraudes, mas é fundamental projetar e implementar um processo eficaz de gestão de risco que vise minimizar a sua probabilidade de ocorrência e, quando ocorre, que saiba identificar e atenuar todos os efeitos consequentes da mesma.

Com o aumento dos casos de fraude, muitos foram os investigadores que estudaram as suas causas e evolução, de forma a ser possível traçar uma estrutura para prevenção, deteção e investigação das mesmas. Neste seguimento, seria possível recomendar, reconhecer e reagir quando surgem sinais de alerta. Donald Cressey é o autor de alguns dos mais importantes resultados na pesquisa de fraude, ainda hoje utilizado, passados quase 70 anos desde a sua publicação original (1953). Cressey afirma que há três elementos que motivam ou possibilitam a ocorrência da fraude, nomeadamente:

oportunidade, pressão/incentivo e racionalização.

i. Pressão/Incentivo – esta motivação pode ser financeira ou não financeira. A pressão/incentivo assume diferentes formas, desde as altas necessidades financeiras, necessidade de relatar melhores resultados devido à pressão para

Pressão/Incentivo

Racionalização Oportunidade

Fonte: Adaptado do modelo de Donald Cressey citado pela ACFE (2022) Figura 1 - Triângulo da Fraude

cumprir metas (às vezes irreais), frustrações relacionadas ao ambiente de trabalho, ambição profissional e desejo de alcançá-la mais cedo, o ambiente profissional competitivo, sistemas de incentivos inadequados e, às vezes, apenas o desejo da pessoa provar que pode derrotar o sistema. (Stanciu, 2012)

ii. Oportunidade - é a capacidade de cometer fraude. O perpetrador acredita que pode conceber e cometer atos de fraude sem ser detetado. De notar que as oportunidades devem ser percebidas como reais pelo perpetrador, o que significa que a oportunidade não é implicitamente real. A convicção do perpetrador é baseada em fraquezas identificadas no controlo interno, má supervisão da gestão, supervisão e monitorização externa inadequadas, falha da gestão em implementar processos adequados de mitigação e monitorização de fraudes, etc. Estudos sobre fraudes enfatizaram que a oportunidade é fornecida também pela posição e autoridade dos indivíduos dentro da empresa. Limitar as oportunidades de fraude é uma forma muito importante de uma empresa a conseguir mitigar. (Dorminey et al., 2012; Stanciu, 2012).

iii. Racionalização - é considerado por muitos especialistas como um componente crucial na maioria das fraudes. Cressey entendeu que, para que o crime ocorra, é necessária uma racionalização moralmente aceitável. Assim como a pressão, a racionalização não é uma característica prontamente observável e, para o auditor (interno ou externo), não é possível identificá-la. (Stanciu, 2012)

Segundo Cressey, citado pela ACFE (2022), estando reunidas estas três condições, é altamente provável que uma pessoa inicie algum tipo de atividades fraudulentas. O Fraud Examiners Manual da ACFE (2022), cita Donald Cressey, dizendo que:

“Quando foi solicitado aos “violadores de confiança” (“trust violators”, termo introduzido por Cressey) para explicar por que se abstiveram de violar outras posições de confiança, que possam ter ocupado anteriormente, ou porque é que não haviam violado o seu cargo num momento anterior, aqueles que expressaram a sua opinião, fizeram-no de forma equivalente a uma ou mais das seguintes citações: (a) "Não havia necessidade disso como havia desta vez." (b) "A ideia

nunca passou pela minha cabeça." (c) "Achei desonesto na altura, mas desta vez, ao princípio, não parecia desonesto”.” (ACFE, 2022) [tradução própria]

Esta teoria facilita a compreensão das razões que alicerçam a prática da fraude, aumentando e melhorando a capacidade da organização se preparar no que concerne à prevenção, deteção e correção de ocorrências (Lou & Wang, 2009).

Numa abordagem mais recente, Wolfe e Hermanson (2004) incluem a esta teoria características inerentes a cada indivíduo, adicionando como fator relevante os traços de personalidade de cada um, chegando-se assim ao “Diamante da Fraude”.

Ao considerar estes quatro elementos: a pressão/incentivo, a oportunidade, racionalização e a capacidade, é possível construir uma visão muito mais abrangente da problemática de prática de fraude e, por conseguinte, criar mecanismos de antecipação e prevenção da mesma.

Neste cenário, mantendo-se os pressupostos de que a pressão/incentivo existe porque o indivíduo quer ou precisa de cometer a fraude, a oportunidade ao existir uma lacuna ou fraqueza no sistema que é possível de ser explorado e manipulado e, a racionalização, uma vez que o indivíduo acredita que qualquer ação fraudulenta valerá todos os riscos incorridos, entra um novo motivo: a capacidade. Esta existe porque o indivíduo detém

Pressão/Incentivo

Oportunidade Racionalização

Capacidade

Fonte: Adaptado do modelo de Wolfe e Hermanson (2004) Figura 2 - Diamante da Fraude

características e habilidades necessárias para ser a pessoa certa para cometer a fraude.

(Wolfe & Hermanson, 2004).

A prevenção de fraude só fará sentido se se conhecerem as causas e impactos que a mesma pode ter e, idealmente, como é que pode ocorrer. Esta análise potenciará a elaboração de medidas preventivas, depois de avaliado o risco e, consequentemente, implementação de controlos para deteção da mesma (Denman, 2019).

Cada modelo de prevenção deve ser adaptado à realidade da entidade para o qual é desenhado, identificando as vulnerabilidades em cada área, as consequências e impacto de cada ação. Isto permitirá que a entidade atue de uma forma mais rápida, consciente e certeira, evitando falsos negativos, percas de tempo, atrasos nos procedimentos, mas também garantir que os casos suspeitos são devidamente investigados (Donovan, 2018).

Para Mohanty (2020), as entidades devem focar-se numa prevenção de fraude para que, em caso de ocorrência, seja atempadamente identificada. Importa ressalvar que a gestão de uma organização e a tomada de decisão será tanto ou mais forte consoante a robustez da sua estrutura, ao se definir prioridades, utilização de recursos e de investimentos.

É importante envolver as equipas na deteção de fraudes, demonstrando-lhes a relevância de uma precoce identificação e deteção da mesma. A criação de um ambiente de trabalho que promova a ética comportamental, pode ser um impeditivo de ilegalidades e pode incentivar os funcionários a denunciar situações de fraude ou os próprios fraudadores, tornando-se numa ferramenta crucial para que tudo funcione de uma forma mais eficaz (Gil, 2011; Mohanty, 2020; ACFE, 2022).

Para Wells (2009), equipas informadas sobre a fraude é, de facto, a melhor forma de prevenir a sua ocorrência nas organizações.

A criação de um canal de denúncias é essencial para detetar e impedir a fraude. De acordo com o report da ACFE (2022), 42% dos casos de fraude em 2021, foram descobertos por

“dicas”, o que representa quase três vezes mais casos do que o segundo método de deteção mais comum – a auditoria interna (16%). Portanto, a implementação de processos eficazes para solicitar e avaliar minuciosamente estas denúncias é uma prioridade crucial.

Como anteriormente mencionado, a relevância desta temática foi identificada pela empresa como essencial para o seu desempenho, imagem, qualidade e continuidade.

As organizações devem ter procedimentos e planos robustos de controlo interno para mitigar o risco de fraude. Por sua vez, pertence à auditoria interna avaliar estes controlos.

Planos de identificação e prevenção de fraude são extremamente importante para que, em caso de exposição da organização à fraude, se possa dar uma resposta rápida e adequada à situação. (IIA, 2019)

1.2 Gestão de Riscos

A Gestão de Riscos é um processo de gestão com o objetivo de acrescentar valor à organização, de forma a que se consiga identificar, analisar e mitigar os riscos, criando valor. Isto poderá ser realizado através da gestão e controlos das ameaças ou a possibilidade de elas virem a ocorrer, que possam contribuir para a não convergência das atividades com os objetivos da organização.

Para Hopkin (2010), citado por D'Alessio (2021, p.1) a gestão de risco pode ser definida como um “processo que visa ajudar as organizações a compreender, avaliar e agir sobre todos os seus riscos com vista a aumentar a probabilidade de sucesso e reduzir a probabilidade de insucesso”.

A gestão de risco é parte integrante da organização, segundo o IIA (2019), os auditores internos têm uma obrigação profissional de usar - ao determinar o domínio dos seus trabalhos de auditoria - técnicas de avaliação de risco em ambos níveis macro e micro.

A primeira missão de uma organização é a de alcançar os seus objetivos, tendo elas a consciência que tanto os riscos como as oportunidades estarão presentes e que podem afetar diretamente o desempenho e resultados da empresa, quer de uma forma impeditiva quer de uma forma potenciadora para os alcançar de uma forma eficiente e eficaz.

Assim, quando se aborda a temática da gestão do risco, é primeiramente necessário que os objetivos estejam definidos, sejam claros, conscientes e consistentes. Posteriormente, serão identificados todos os riscos que detenham interações significativas entre a entidade e as partes interessadas. Consoante o nível de risco definir-se-á quem são os responsáveis pela sua gestão e, consequentemente, os métodos e as técnicas inerentes ao processo de avaliação e prevenção da fraude. Quantificar o risco inerente à possibilidade de ocorrência de fraude, facilita os métodos e as técnicas a adotar e, otimiza a relação custo/beneficio (Iyer e Samociuk, 2016).

Uma auditoria baseada no risco é considerada mais eficiente e eficaz por se traduzir numa avaliação às áreas que efetivamente apresentam um maior risco, em vez de uma análise exclusiva à área financeira que pode não representar, necessariamente, um risco elevado.

(Instituto da Cooperação e da Língua, I.P., 2014)

A identificação de riscos e de metodologias de controlo, tornará a organização mais eficaz no cumprimento dos seus objetivos internos bem como na relação de qualidade que mantem nos produtos que oferece e, consequentemente, na confiança criada junto do cliente.

De acordo com Gil (2011, p. 20) uma estratégia de gestão de riscos:

“(…) deve ser assente na compreensão, redução e deteção de riscos, na análise e deteção de sinais de alerta, na gestão de incidentes e na prevenção de risco de fraude, o que implica a existência de meios e técnicas que permitam aumentar a segurança e a resistência de uma instituição”

Com vista a criar valor, as organizações são cada vez mais pressionadas a que se faça uma correta e completa identificação de todos os riscos que os negócios possam ter de enfrentar, sejam eles sociais, éticos, ambientais, financeiros, operacionais etc. e, de que forma, estando constantemente expostas à incerteza, isto é, ao risco, o consigam gerir de forma aceitável para reduzir o impacto dos mesmos (Bonić & Đorđević, 2012).

Assim, o risco assume-se como uma componente inerente à atividade de qualquer empresa, sendo por isto fundamental que seja considerada nos processos de tomada de decisão por parte da gestão. Cabe-lhe, ao órgão de gestão, adotar e implementar um conjunto de estratégias apropriadas, com vista à prevenção, deteção e mitigação dos mesmos. O COSO Enterprise Risk Management (ERM), destaca a importância do risco e gestão do mesmo ser considerado no processo de definição de estratégia e na condução do desempenho da organização.

Uma vez que todas as organizações necessitam de definir uma estratégia que seja periodicamente ajustada, com foco constante nas novas oportunidades, nas mudanças e nos novos desafios que, possivelmente, criarão valor. Para tal, é necessária uma estrutura que permita otimizar a estratégia e o desempenho, onde a gestão de riscos tem um papel fundamental (COSO, 2017).

O modelo ERM do COSO (2017, p. 6) é um conjunto de cinco componentes que se relacionam entre si, nomeadamente:

1. Governance e cultura: o governance define a organização, reforçando a importância e estabelecimento de responsabilidades de supervisão para a gestão dos riscos. A cultura diz respeito aos valores éticos, comportamentos desejados e compreensão do risco na entidade;

2. Estratégia e definição de objetivos: o planeamento estratégico resulta da interligação da gestão de riscos, da estratégia e do estabelecimento de objectivos, na medida em que o “risk appetite” ² é definido e alinhado com a estratégia; por sua vez, os objectivos de negócios colocam a estratégia em prática enquanto servem de base para identificar, avaliar e responder ao risco.

3. Desempenho: os riscos com impacto na estratégia e nos objectivos do negócio necessitam de ser identificados e avaliados. Estes são priorizados de acordo com a sua relevância e, posteriormente, a organização seleciona as respostas a eles, fazendo uma análise quantitativa aos riscos que assumiu.

4. Revisão: a revisão ao desempenho permite que a organização possa identificar quão bem os componentes de gestão de risco estão a funcionar ao longo do tempo e, quais as revisões necessárias a efetuar.

5. Informações, comunicação e relatórios: a gestão de riscos requer um processo contínuo de obtenção e partilha das informações, tanto de fontes internas quanto externas, que fluem para cima, para baixo e em toda a organização.

Independentemente do seu tamanho ou atividade o modelo ERM do COSO traz benefícios para as entidades, como por exemplo: aumentar o leque de oportunidades;

identificação e gestão de riscos em toda a entidade; aumentar resultados positivos e reduzir resultados negativos; reduzir a variabilidade de negócio, etc. (COSO, 2017) O objetivo de uma cuidada e planeada gestão de risco é o de identificar, avaliar e gerir as incertezas e ameaças que a organização enfrenta na prossecução dos seus objetivos.

2 Risk Appetite: Nível de risco que uma organização está disposta a aceitar (IIA, 2009, p. 7) [tradução própria]

Segundo o COSO (2017), a gestão do risco “não é uma função ou um departamento. É a cultura, capacidades e práticas que as organizações integram com a definição de estratégias e aplicam quando executam essas mesmas estratégias, com o objetivo de gerir o risco na criação, preservação e criação de valor” (COSO, 2017, p. 3). [tradução própria]

Para Morais e Martins (2013, p. 134):

“A avaliação do risco usando a metodologia do ERM, é uma função fundamental da atividade da Auditoria Interna, reconhecida tanto pelo IIA como pelo COSO.

(…) é um guia de implementação prática acessível a todas as entidades, que permite tratar eficazmente a incerteza porque ajuda a enfrentar os riscos e a atingir os objetivos, evitando surpresas. É uma estrutura integrada concebida para identificar, avaliar e medir ameaças e oportunidades com grau de segurança razoável que podem impedir que os objetivos sejam alcançados (estratégicos, operacionais, reporting e cumprimento)”.

A gestão de risco passa por uma análise aos riscos inerentes à organização, e deve ser considerada em algumas etapas, nomeadamente: identificação do risco, priorização do risco, avaliação do risco, implementação e monitorização dos riscos. (Moeller, 2007;

Pinheiro, 2014)

De acordo IIA (2020), o principal papel da auditoria interna no processo de gestão do risco é fornecer uma segurança objetiva acerca da eficácia das atividades. Tem também como função, contribuir para assegurar que os principais riscos da atividade estão a ser geridos de forma adequada e que os sistemas de controlo interno estão a funcionar de forma eficaz.

A identificação, avaliação e resposta aos riscos é uma preparação e implementação que deverá/poderá ser dinamizada pela função de auditoria interna, não sendo esta responsável pela sua gestão. A auditoria interna deverá assumir um papel de garantia à gestão que os riscos estão controlados. (IIA, 2020)

Qualquer organização, ao adotar uma política de gestão do risco, tornar-se-á mais produtiva e racional. Neste contexto, a auditoria interna desempenha um papel fundamental na consecução dos objetivos e metas traçadas pela organização, centrando a sua atenção na mitigação dos riscos de gestão.

As organizações deverão desenvolver, implementar e manter um processo que lhes permita identificar todos os fatores (internos e externos) que possam afetar a capacidade de a entidade atingir os objetivos a que se propõe. Para tal, é necessário que a identificação seja profunda, desde a documentação de suporte devidamente atualizada, ao envolvimento dos responsáveis pela gestão neste processo, existirá todo um conjunto de áreas que são necessários ter em conta para uma correta identificação dos riscos. Para que possa ser concretizada uma correta avaliação e quantificação dos mesmos, é necessário que cada um dos riscos identificados seja associado a cada um dos processos da empresa.

Assim, a avaliação dos riscos deve estimar:

a. O nível de risco (baixo, médio ou elevado);

b. O impacto de ocorrência dos riscos;

c. A probabilidade de ocorrência desses riscos.

A avaliação dos riscos, a identificação e acompanhamento, deverá ser a mais detalhada e ajustada possível a cada processo. A avaliação deverá ser frequente, adaptada e a informação deverá deter o grau de fiabilidade e qualidade dos pressupostos que a basearam.

Segundo D'Alessio (2021, p. 2), citando Woods (2011), “a análise do risco inclui a identificação, descrição e estimativa do risco, mas a orientação para essas fases é muito limitada.” A gestão do risco, para ser eficaz e eficiente, deve seguir um padrão de forma a que todos os processos e atividades estejam discriminados, descritos e ordenados, para que a perceção e análise seja o mais correta e adaptada possível.

Os auditores internos podem assumir um papel relevante na implementação dos processos de gestão de risco, contudo, estes não poderão ser os responsáveis pela sua gestão.

Com base no estudo intitulado de “Linhas de Orientação para a Gestão do Risco” do Instituto da Cooperação e da Língua, I.P., (2014, p. 6) a avaliação do risco “consiste no processo de identificação e análise dos riscos mais relevantes na concretização dos objetivos da organização e na determinação da resposta adequada a cada um deles”.

Por fim, mas não menos relevante, é necessário que seja efetuado um acompanhamento dos riscos, que monitorize a exposição, relatando as causas efeitos detetados, com a exatidão, transparência e clareza da informação a transmitir. Só assim será possível dar continuidade à gestão dos riscos, envolvendo toda a organização de forma que seja um

processo pormenorizado e fluído, e que se traduza em vantagens competitivas para a entidade e partes relacionadas.

Todas as organizações necessitam de definir uma estratégia, ajustável, adaptável e revista periodicamente, de forma a que estejam sempre preservados os princípios da melhor estrutura e estratégia possíveis para afetar positivamente o desempenho da empresa na sua globalidade.

Integrar esta gestão de riscos, permite aumentar as oportunidades da organização, analisando os novos desafios, positivos e negativos, que vão surgindo, possibilitando a criação de novas formas de trabalho, eficientes e alternativas. O risco de enfrentar uma situação adversa pode muitas vezes significar uma oportunidade de crescimento, reinvenção e melhoria do desempenho (exemplo: Covid-19 ³). Assim, a gestão dos riscos permite que as entidades melhorem a sua capacidade de identificar riscos e estabelecer respostas adequadas, reduzindo “surpresas” e custos relacionados ou perdas a elas associadas. (COSO, 2017)

As análises de risco incluem, segundo o COSO (2017):

i. Estimativas da significância do risco;

ii. Avaliação da possibilidade da sua ocorrência;

iii. Decisão de como gerir o risco;

iv. Ações que devem ser tomadas.

O sistema de controlo interno de uma organização tem um papel chave na gestão de riscos, considerado pelo IFAC (2019) como uma das componentes do sistema de governação e como parte integrante do processo de gestão do risco da organização, conforme veremos de seguida.

Um bom sistema de controlo interno, assente nas componentes que o caracterizam, permite a identificação de falhas e deficiências minimizando-as, contribuindo para uma melhoria dos procedimentos, convergindo num cumprimento dos objectivos definidos pela organização.

3 COVID-19 é o nome, atribuído pela Organização Mundial da Saúde, à doença provocada pelo novo coronavírus SARS-COV-2, que pode causar infeção respiratória grave como a pneumonia. (SNS 24, através de https://www.sns24.gov.pt/tema/doencas-infecciosas/covid-19)

Nesse sentido, de acordo com Santos (2013), é cada vez mais importante que as organizações possuam sistemas de gestão do risco e de controlo interno, alinhados entre si e integrados na sua cadeia de valor e processos de negócio e, tornando-se parte integrante da cultura e da gestão da própria organização, permitindo uma resposta rápida e adequada aos riscos do negócio. “Um controlo interno eficaz permite criar vantagens competitivas para a organização permitindo-lhe assumir riscos adicionais com vista à criação e preservação de valor.” (Santos, 2013, p. 38)

1.3 Controlo Interno

O mercado atual, tem sofrido alterações significativas, quer na sua forma quer no seu valor, tornando-se cada vez mais exigente e competitivo. Assim, as empresas sentiram a necessidade de gerir e controlar melhor os seus ativos.

De acordo com Morais e Martins, (2013, p. 27) o “controlo é qualquer ação empreendida pela gestão, pelo conselho e outras entidades para aperfeiçoar a gestão do risco e melhorar a possibilidade do alcance dos objetivos e metas da entidade. A gestão planeia, organiza e dirige o desempenho de ações suficientes para assegurar com razoabilidade que os objetivos e metas serão alcançados.”.

Pela sua abrangência, adaptabilidade, atualidade e constante evolução no que concerne à sua importância para as organizações, não é possível uniformizar o que é efetivamente um sistema de controlo interno. Para Morais e Martins (2013), o primeiro organismo a definir o controlo interno foi o American Institute of Certified Public Accountants (AICPA), em 1934, considerando que:

“o controlo interno compreende um plano de organização e coordenação de todos os métodos e medidas adotadas num negócio a fim de garantir a salvaguarda de ativos, verificar a adequação e confiabilidade dos dados estatísticos, promover a eficiência operacional e encorajar a adesão às políticas estabelecidas pela gestão”.

(Morais & Martins, 2013, p. 28)

Segundo uma publicação da Secretaria-Geral da Economia (2022), um sistema de controlo interno é um sistema completo de controlos de gestão - financeiro e administrativo – ao qual é incluído a estrutura organizacional, os métodos e procedimentos estabelecidos por lei e pelos órgãos de gestão de uma organização.

Neste sentido, para Araújo (1998), citando o AICPA, o controlo interno é um plano da organização e o conjunto coordenado de métodos e medidas adotadas pela empresa de forma a salvaguardar o seu património, conferir a exatidão e fidedignidade de dados, promover a eficiência operacional e encorajar o cumprimento das diretrizes traçadas pela gestão da empresa. Para Franco e Marra (2001), o controlo interno são “todos os instrumentos da organização destinados à vigilância, fiscalização e verificação administrativa, que permitem prever, observar, dirigir ou governar os acontecimentos que se verificam dentro da empresa e que produzem reflexos no seu património” (Franco e Marra, 2001, p. 261).

Boynton et al. (2002), numa perspetiva mais atual define controlo interno como um processo que visa desenvolver um plano de segurança razoável para a concretização dos objetivos estabelecidos pela organização, tendo em consideração as diversas áreas da mesma, desde a confidencialidade de informações financeiras, cumprimento e observação das leis e regulamentos aplicáveis (compliance) à eficácia e eficiência das operações.

Por sua vez, o IFAC (2019), através da ISA 315 (2019, § 12) define controlo interno, como um:

“processo concebido, implementado e mantido pelos encarregados da governação, órgão de gestão e outro pessoal para proporcionar segurança razoável acerca da consecução dos objetivos de uma entidade com respeito à fiabilidade do relato financeiro, eficácia e eficiência das operações e cumprimento das leis e regulamentos aplicáveis”. (IFAC, 2019, p. 9) [tradução própria]

O controlo interno é, portanto, uma forma de organização que prevê a existência de um plano e de sistemas devidamente estruturados e coordenados destinados a prevenir a ocorrência de erros e irregularidades ou minimizar as suas consequências e, maximizar o desempenho da entidade em que se insere. De grosso modo, o controlo interno maximiza a garantia pelo cumprimento dos objetivos e políticas traçadas pela organização, mitigando o risco, nomeadamente o de fraude (Tribunal de Contas, 1999).

Internacionalmente, o COSO, citado por Peralta (2014), define controlo interno como sendo um “processo realizado pelas pessoas da organização (administração, gestão e restantes colaboradores), concebido para dar garantia razoável de fiabilidade sobre o alcance de objetivos relacionados com as operações, relato de informação e conformidade” (Peralta, 2014, p. 11).

Desde a sua criação, em 1985, o COSO, é encarado como a principal referência a nível mundial no que concerne à matéria do controlo interno, gestão de risco corporativo e de prevenção contra a fraude (DeLoach & Thomson, 2014).

Nenhuma entidade está livre da possibilidade de ocorrência de fraude, o risco é inerente a qualquer atividade, sendo por isso impossível de o eliminar. É importante que os órgãos de gestão entendam de que forma as suas empresas estão a responder ao risco e de que forma estão a ser protegidas/satisfeitas as necessidades e interesses da organização e das partes interessadas.

Assim surge o modelo do COSO - Internal Control Integrated Framework (ICIF ⁴) onde estão espelhadas as componentes e princípios às quais se acredita que, devidamente implementados, se verificará uma segurança quanto ao risco de ocorrência de fraude.

Esta estrutura é, para Morais e Martins (2013), uma ferramenta poderosa por permitir que as organizações se centrem nas suas próprias estruturas chave, valores e processos que compõem o controlo interno.

Ela elege cinco componentes, “articuladas entre si, gerando sinergias e formando um sistema integrado” de controlo interno, que permitam dar resposta de uma forma dinâmica e periódica, nomeadamente, e de acordo com o COSO (2013):

I. Ambiente de controlo – deve-se garantir que existe uma cultura, uma estrutura organizacional e um planeamento estratégico. O ambiente de controlo descreve um conjunto de padrões, processos e estruturas que fornecem a base para o controlo interno em toda a organização. Esta componente demonstra compromisso com a integridade e os valores éticos; exerce a responsabilidade de supervisão; estabelece estrutura, autoridade e responsabilidade; demonstra compromisso com a competência; impõe responsabilidade. O ambiente de controlo está relacionado com a cultura da entidade, sendo este componente o alicerce para os restantes.

4 Estrutura criada pelo COSO com o intuito de proporcionar benefícios significativos às organizações, onde foram desenvolvidas estruturas de orientação sobre gestão de riscos, controlo interno e prevenção de fraudes.

II. Avaliação do risco – Esta componente visa identificar, avaliar, acompanhar e controlar todos os riscos que possam influenciar os objetivos definidos. A avaliação de risco requer uma gestão onde sejam considerados os impactos de possíveis mudanças significativas no ambiente interno e externo e, potencialmente, agir para atenuar o seu impacto. Esta avaliação especifica objetivos adequados; identifica e analisa o risco; avalia o risco de fraude;

identifica e analisa mudanças significativas.

III. Atividades de controlo – As atividades de controlo são ações (geralmente descritas em políticas, procedimentos e padrões) que auxiliam a gestão e a mitigação dos riscos, a fim de garantir a realização dos objetivos traçados. As atividades de controlo podem ser preventivas ou detetivas e podem ser realizadas em todos os níveis da organização. Esta componente seleciona e desenvolve atividades de controlo; seleciona e desenvolve controlos gerais sobre tecnologia;

implementa-se através de políticas e procedimentos.

IV. Informação e comunicação – As informações são obtidas ou geradas pela gestão de fontes internas e externas, a fim de apoiar estas componentes de controlo interno. A comunicação é baseada em fontes internas e externas que são usadas para divulgar informações importantes dentro e fora da organização, conforme necessário para responder e apoiar a sinergia entre exigências e expectativas. Esta componente destina-se a garantir a captação, tratamento e troca de dados para a gestão e controlo da atividade ao utilizar informações relevantes; comunicar internamente e, comunicar externamente.

V. Supervisão - As atividades de supervisão/monitorização são avaliações periódicas para verificar se cada uma destas cinco componentes estão presentes e a funcionar de acordo com o estabelecido. A organização avalia e comunica as deficiências do controlo interno, de forma a ser possível, em tempo útil, efetuar as devidas ações corretivas.

É da responsabilidade do órgão de gestão a implantação e manutenção deste sistema de controlo interno e, a sua avaliação, é da responsabilidade de um auditor.

Ao realizar a auditoria, os controlos internos serão identificados, avaliados e testados pelos auditores para determinar se esses procedimentos cumprem o propósito pretendido e se são aplicados de forma consistente e confiável (Applegate, 2004).

O controlo interno é um processo que se destina a melhorar consideravelmente a eficácia e eficiência das atividades operacionais das organizações, convergindo num sentido único de alcançar os objetivos delineados pela mesma. Segundo o COSO (2013), os três principais objetivos específicos de controlo interno são, garantir:

1. Eficácia e eficiência dos recursos;

2. Fiabilidade da informação:

3. Cumprimento das leis e normas estabelecidas.

O controlo interno é essencial para qualquer tipo de organização, mais ou menos evoluído, no entanto, é importante que o sistema seja adaptado às necessidades e características específicas da organização, seja fiável, adequado à realidade interna e sua envolvente.

Segundo Morais e Martins (2013), qualquer sistema de controlo interno deve incluir os controlos adequados, podendo assim ser classificados como:

• Preventivos – são aqueles que se destinam a prevenir a ocorrência de factos indesejáveis, pelo que são considerados controlos á priori ⁵. Estes controlos entram imediatamente em funcionamento, impedindo que determinadas transações se processem;

• Detetivos – são controlos á posteriori ⁶, neste caso, servem para detetar ou corrigir acontecimentos indesejáveis que já tenham ocorrido;

• Diretivos ou Orientativos - servem para desencadear um acontecimento de factos desejável, isto é, através de boas orientações produzir efeitos “positivos”;

• Corretivos - servem para retificar problemas identificados;

• Compensatórios - servem para compensar eventuais fraquezas de controlo noutras áreas da organização.

Como anteriormente mencionado, o processo de supervisão/monitorização é fundamental para se perceber o comportamento e desempenho das várias componentes, bem como da sua adaptação à realidade em que a organização se encontra.

5 locução latina que significa "a partir do que é anterior”, que está mais à frente, precedente, anterior.

6 locução latina que significa "a partir do que é posterior", que está atrás, posterior

Assim, para Almeida (2017, p. 341):

“A monitorização dos controlos consiste numa supervisão regular dos mesmos, ou seja, é um processo que avalia o desempenho das componentes do controlo interno ao longo do tempo. A monitorização do ambiente de controlo, da avaliação do risco, da atividade de controlo e da informação e comunicação fornece feedback sobre a eficiência dos controlos, agindo como um estímulo a sua renovação ou à implementação de melhorias”

Numa estratégia de prevenção de fraude, o controlo interno é essencial para que a mesma possa ter os resultados para o quais é desenhada.

Limitações do controlo interno

O controlo interno garante uma segurança razoável, na prevenção, limitação e deteção de erros e irregularidade, porém existem limitações que não permitem eliminar o risco na sua totalidade obtendo uma segurança absoluta.

Assim, o COSO (2013) aponta algumas limitações no controlo interno:

• Desinteresse por parte da administração na manutenção de um bom sistema de controlo interno;

• A relação custo/beneficio;

• Capacidade de a gestão substituir os controlos internos;

• A existência de erros humanos e/ou fraude;

• As transações pouco usuais;

• Eventos externos fora do controlo da organização;

• Disfunção do sistema.

Neste sentido, o controlo interno deve ser revisto permanentemente de forma a dar uma segurança razoável no que concerne à eficiência e a eficácia das operações no sentido de convergência com os objetivos da entidade, incluindo o desempenho, metas traçadas e salvaguarda dos recursos, a confiança nas demonstrações financeiras e a conformidade com as leis e regulamentos às quais a entidade está sujeita (Costa, 2010).

1.4 Auditoria Interna

Citado por Morais e Martins (2013), o Auditing Concepts Commitee define auditoria como um “processo sistemático de objetivamente obter e avaliar prova acerca da correspondência entre informações, situações ou procedimentos e critérios preestabelecidos, assim como comunicar conclusões aos interessados”. (Morais &

Martins, 2013, p. 19)

Remonta a 1978 aquela que foi, possivelmente, a primeira definição de auditoria interna incluída nos Standards for the Professional Practice of Internal Auditing do IIA (1978) e dizia que a “auditoria interna é uma função de avaliação independente estabelecida dentro de uma organização para examinar e avaliar as suas atividades como um serviço à organização”. IIA (1978, p. 1) [tradução própria]

Em 1999, foi feita a última atualização ao conceito de auditoria interna, passando a incluir as funções de um auditor interno, incluindo a gestão de riscos e os processos de governance. (Morais & Martins, 2013).

A auditoria interna já era praticada em vários países antes da sua chegada a Portugal, que só nos finais do Séc. XX é que “as empresas portuguesas (…) têm vindo a acompanhar as inovações operadas neste âmbito, adotando-as e ajustando-as consoante as suas possibilidades e o entendimento da função pelas suas Administrações.” (Martins &

Morais, 1999, p.1).

Numa versão mais atual, segundo Morais e Martins (2013, p. 91), citando o IIA, a

“auditoria interna é então uma atividade independente, de garantia objetiva e de consultoria, destinada a acrescentar valor e melhorar as operações de uma organização.

Ajudar a organização na consecução dos seus objetivos, através de uma abordagem sistemática e disciplinada, na avaliação e melhoria dos processos da eficácia da gestão de risco, do controlo e de governance.”

Para Sawyer, Dittenhofer e Scheiner (2003, p.10), a auditoria interna consiste em:

“uma avaliação sistemática e objetiva realizada por auditores internos das diversas operações e controlos de uma organização, para determinar se (1) a informação financeira e operacional é precisa e confiável; (2) os riscos da organização são identificados e posteriormente minimizados; (3) os regulamentos, as políticas internas e procedimentos são seguidos; (4) os critérios de funcionamento são

seguidos; (5) os recursos são usados de forma eficiente e económica; e (6) os objetivos da organização são efetivamente alcançados”

Para Pinheiro (2014, p. 55)

“a missão da auditoria interna caracteriza-se pelo facto de ser uma função de avaliação independente para a análise das operações (…). É fundamental que a missão da Auditoria Interna esteja devidamente alinhada com a missão da empresa. A Auditoria Interna é o controlo dos controlos, instituído numa empresa ou organização e visa contribuir para a promoção da economia, eficácia e eficiência das operações desenvolvidas.”

Cada vez mais, a auditoria interna detém uma grande importância no seio de uma organização, desempenhando uma função imprescindível de apoio à gestão.

A auditoria interna exerce um papel crucial no apuramento das irregularidades das organizações, visto que releva e evidencia as fraudes, e principalmente, impede a prática desses delitos com a aplicação de controlos internos (SÁ, 2007). É uma atividade independente, ampla, contínua e desenvolvida numa entidade, baseada na avaliação do risco, com o objetivo de verificar se os controlos internos e os processos desenhados pela gestão estão a ser cumpridos.

De todos os elementos explanados nos anteriores capítulos, a auditoria interna assume o papel unificador deste leque de conceitos e práticas, por ser responsável pela supervisão da gestão de risco, dos controlos internos e dos processos de governance. (Morais &

Martins, 2013)

A auditoria interna tem como objetivos principais acrescentar valor às entidades, melhorando o funcionamento da mesma, ajudando na prossecução dos objetivos traçados.

Tem ainda como objetivo executar uma abordagem sistemática e disciplinada, avaliando e melhorando a eficácia dos processos de gestão de risco, controlo e governance. (IPAI, 2016)

Cabe à auditoria interna fornecer análises, recomendações/sugestões e informações, relativas às atividades examinadas, incluindo a promoção de um controlo eficaz a custo razoável.

De acordo com Morais (2004), a auditoria interna é baseada em quatro vetores:

A) Perspetiva global do negócio - em que os auditores internos têm de compreender e conhecer o negócio como um todo, de forma a poder responder vigorosamente e profissionalmente aos seus desafios. “Todas as competências específicas recomendadas sublinham o profundo conhecimento das organizações - os seus objetivos e estratégias, as suas exposições aos riscos.” (Morais, 2004, p. 6) B) Risco - o desafio deste vetor é compreender que riscos afetam ou comprometem

o desempenho de uma organização, dado que, “à medida que os ambientes internos e externos se tornam cada vez mais complexos, a habilidade das organizações para identificar, analisar e gerir o risco torna-se cada vez mais crítico e mais difícil” (Morais, 2004, p. 6). Assim, é da competência da auditoria interna contribuir para uma melhoria da gestão de risco e do funcionamento dos sistemas de controlo da organização.

C) Controlo e confiança – com intuito de identificar e avaliar os riscos e a sua adequação com os controlos implementados, a auditoria interna surge como uma função avaliadora, onde “agrupa todos os seus sistemas de confiança como um processo composto por várias partes, funcionando como um mecanismo que garanta a confiança, assegurando que situações de risco serão corretamente entendidas e geridas em contexto de mudança”. A crescente confiança nos auditores internos e nas suas funções, que “reflete a crescente complexidade do mundo dos negócios contemporâneo, sendo da sua competência providenciar a continuidade da confiança na organização e no seu controlo.” (Morais, 2004, p.

6)

D) Valor e tomada de decisão – “a responsabilidade dos auditores internos pode centrar-se em assegurar a integridade da organização no processo da tomada de decisão, especialmente no que diz respeito à aquisição, desenvolvimento, aplicação e supervisão da performance dos recursos”, (Morais, 2004, p. 6) a tomada de decisão deve ainda incluir os auditores internos, pela sua envolvência nas ferramentas, técnicas e assuntos de análise, onde o seu parecer pode ser fulcral para uma correta avaliação e tomada de decisão.

A auditoria interna tem como atividades, segundo Morais e Martins (2013):

I. “Examinar e apreciar a razoabilidade, a suficiência e aplicação dos controlos contabilísticos, financeiros, operacionais, processos de gestão, promovendo

um controlo eficaz a um custo razoável – relação custo/benefício, com base na avaliação do risco”; (Morais & Martins, 2013, p. 92)

II. Detetar e comunicar desvios ao normal funcionamento da organização;

III. Verificar se os processos de governance são adequados;

IV. Avaliar a qualidade e eficácia dos trabalhos;

V. Recomendar melhorias no sistema.

O processo de auditoria é complexo e inclui várias fases desde a sua preparação até à avaliação da própria, podendo-se dividir em três grandes fases: planeamento e preparação; execução e, avaliação.

De forma sucinta, este processo inicia-se pelo planeamento, onde é selecionada a área a ser auditada. Para Almeida (2017, p. 146) “o adequado planeamento de uma auditoria é muito importante, pois permite ao auditor recolher prova suficiente e apropriada para suportar as suas conclusões minimizando as possibilidades de litígio”.

O planeamento é essencial para o sucesso da auditoria. De acordo com Morais e Martins (2013, p. 144), “os objectivos do planeamento são estabelecer prioridades face às áreas ou operações a auditar, rendibilizar os processos, determinar a profundidade dos testes e identificar os recursos necessários e adequados”

Seguidamente, será necessário preparar a auditoria e esta deverá incluir um documento (Plano de Auditoria), que é essencial para o decorrer dos trabalhos e, deve contemplar, de uma forma detalhada e objetiva, todas as informações que suportam os procedimentos de auditoria a desenvolver.

Numa segunda fase (execução), segundo Morais e Martins (2013) engloba-se:

• Exame preliminar – deslocações, observações, reuniões e recolha documental que permita conhecer o sistema, analisar os trabalhos, pessoas e processos da entidade a auditar.

• Descrição, análise e avaliação do sistema de controlo interno – neste processo, o auditor pretende analisar e avaliar o sistema de controlo interno em cada uma das áreas a auditar, documentando-o.

• Exame e avaliação da informação – após as etapas anteriores devidamente concluídas, “o auditor interno efetua uma revisão detalhada das operações e, ou,

processos e respetivo sistema de controlo interno e gestão de risco, recorrendo a testes de conformidade que permitam avaliar a conceção e eficácia do sistema”.

(Morais & Martins, 2013, p. 158)

Na terceira fase – a avaliação – após reunidas as provas suficientes e adequadas, o auditor pode elaborar as suas conclusões e recomendações. Estas são o “resultado da auditoria e baseiam-se nas observações e conclusões obtidas durante a realização do trabalho”

(Morais & Martins, 2013, p. 160).

Uma vez efetuado o exame e avaliação, as conclusões e recomendações que daqui advêm devem ser comunicadas, através de relatórios.

O objetivo é poder reportar a informação considerada necessária e relevante, identificar as melhorias necessárias, identificar recomendações e alertar para a necessidade de serem implementadas, etc. “O relatório representa um dos documentos mais relevantes do auditor interno, dado que é por este meio que comunica aos diferentes destinatários as conclusões do seu trabalho” (Morais & Martins, 2013, p. 160)

Numa auditoria interna, os trabalhos não terminam quando o auditor emite as suas conclusões e recomendações. A auditoria interna é um processo contínuo pelo que é necessário que seja acompanhado, ou seja, é necessário avaliar a “adequação, a eficácia e oportunidade das medidas tomadas pelo Órgão de Gestão em relação às recomendações relatadas (…)” (Morais & Martins, 2013, p. 173).

Este processo é intitulado de follow-up e considera-se que uma auditoria interna foi bem- sucedida analisando as implementações efetuadas e a sua eficácia.

Por fim, efetuar-se-á a última etapa, a avaliação da auditoria. “Estas avaliações ajudam a manter um controlo de qualidade eficaz, acrescentando valor” (Morais & Martins, 2013, p. 190).

De entre as principais funções da auditoria interna e do trabalho do auditor segundo o IPAI (2016), destaca-se:

- A avaliação dos processos de gestão do risco e de controlo interno, desenvolvidos pela gestão para a realização dos objetivos da entidade;

- A avaliação da eficiência e eficácia das operações;

- A avaliação da conformidade com a legislação, regulamentos e contratos.

O auditor deve primar pela sua integridade, objetividade, confidencialidade e competência. À medida que as necessidades da organização vão mudando, a atividade de auditoria vai ajustando o seu contributo de modo a satisfazer as novas necessidades da organização.

A função da auditoria interna numa política antifraude

O IIA emitiu uma Declaração de Posicionamento, sobre fraude e auditoria interna onde menciona que:

“a ameaça de fraude é um dos desafios à governança mais comuns que as organizações enfrentam, independentemente de seu tamanho, indústria ou localização. Ter procedimentos de controlo interno adequados, que incluam um plano de resposta apropriado, é fundamental para combater a fraude. A auditoria interna possui íntimo conhecimento sobre o controlo da organização. Uma abordagem combinada de avaliação é fundamental nesse sentido, para entender as lacunas nos controlos que permitem a ocorrência de fraudes.” (IIA, 2019, p.3) [tradução própria]

A responsabilidade da dissuasão da fraude pertence ao Órgão de Gestão, no entanto, a análise e avaliação da adequação e eficácia das medidas tomadas pelo mesmo, pertence à auditoria interna. (Morais & Martins, 2013)

Para tal, existem metodologias, técnicas e recursos que permitem analisar objetivamente a fraude, aplicando-se às diversas áreas das organizações e permitem, de grosso modo, construir padrões de comportamento comparável, para que qualquer desvio ao mesmo, possa ser identificado e analisado.

Ainda de acordo com Morais e Martins (2013), estes modelos permitem determinar objetiva e suficientemente a existência de uma irregularidade, a identificação de causas e circunstâncias e as recomendações de medidas preventivas que ofereçam uma segurança razoável de não voltarem a ser produzidas irregularidades.

São da responsabilidade da atividade de Auditoria Interna:

- Sensibilizar e recomendar ao órgão de gestão para adquirir e difundir uma cultura de (anti)fraude, implementar um Código de Conduta, delimitar áreas de